米Symantecは米国時間10月5日,同社のウイルス対策ソフト製品「Norton AntiVirus 2003/2004/2005」に見つかったセキュリティ・ホールを公表した。同製品は,MS-DOSの予約デバイス名(AUX/CON/PRN/COM1/LPT1など)が付いたファイルやフォルダをチェックしない。このため,それらにウイルスなど悪質なプログラムが含まれていても検出できない。Norton AntiVirus 2004については,同製品の自動更新機能「LiveUpdate」を実施すれば解消できる。他のバージョンについても,順次対応予定。
Norton AntiVirusは同社のセキュリティ・スイート「Norton Internet Security」にも含まれるので,Internet Securityのユーザーも同じように影響を受ける。
今回のセキュリティ・ホールの影響は,リアルタイムにウイルスを検出する「リアルタイム保護」と,ハードディスクなどの中身すべてをチェックする「(手動)スキャン」の両方が受ける。いずれの方法でも,予約デバイス名が付いたファイルやフォルダの中はチェックしない。ただし,メールに添付されている場合には,きちんとチェックできるという。
対策は,LiveUpdateを実施して修正プログラムをインストールすること。Norton AntiVirus 2004用の修正プログラムは既に公開されている。その他のバージョンについても,順次公開する予定である。
今回のセキュリティ・ホールを発見したのは,セキュリティ・ベンダーの米iDEFENSE。同社によると,予約デバイス名を持つファイルやフォルダは現在のWindowsシステムではほとんど使われていないという。このため,それらをすべて削除することを回避策の一つとして挙げている(具体的には,「del \\.\C:\aux」といったコマンドを実行する)。
iDEFENSEは,英Sophosのウイルス対策ソフトにも同様のセキュリティ・ホールを見つけている。Sophosは修正バージョンを公開済み(日本語情報)。Sophos Anti-Virus for WindowsやSophos Small Business Suiteのユーザーは,セキュリティ・ホールを修正したバージョン3.86にアップデートするよう勧めている。
◎参考資料
◆Symantec Norton AntiVirus MS-DOS Reserved Device Name Handling(米Symantec)
◆Symantec Norton AntiVirus Reserved Device Name Handling Vulnerability(米iDEFENSE)
◆Symantec Norton AntiVirus MS-DOS Device Name Handling Weakness(デンマークSecunia)
◆Advisory: resolution of reserved device name handling vulnerability(英Sophos)
◆勧告:予約デバイス名処理にあった脆弱性の修正(ソフォス)
◆Sophos Small Business Suite Reserved Device Name Handling Vulnerability(米iDEFENSE)
(勝村 幸博=IT Pro)
